La Commission nationale de l'informatique et des libertés (CNIL) a franchi une étape importante dans la réglementation de l'intelligence artificielle (IA) en France. Après une période de consultation et d'analyse approfondie, elle a récemment dévoilé son premier ensemble de recommandations, composé de 7 lignes directrices visant à guider le développement éthique et conforme à la réglementation des systèmes d'IA.
Depuis plusieurs mois, la CNIL s'implique activement dans le domaine de l'IA, reflétant ainsi son importance croissante dans notre société. Cette implication s'est traduite par la mise en place d'une entité dédiée à ce sujet ainsi que par un processus de consultation publique. Au total, 43 entreprises et organisations ont participé à cette consultation, ce qui a permis à la CNIL de disposer d'une base solide pour formuler ses recommandations.
D'emblée, la CNIL clarifie un point crucial : la conformité au règlement général sur la protection des données (RGPD) et l'innovation en matière d'IA ne s'excluent pas nécessairement l'une l'autre. Cette clarification est essentielle pour dissiper les idées fausses selon lesquelles la conformité au GDPR étoufferait l'innovation dans le domaine de l'IA en Europe. Toutefois, la collecte de données à caractère personnel pour l'entraînement des systèmes d'IA nécessite une attention particulière.
Définition de l'objectif et minimisation des données
La première ligne directrice des recommandations de la CNIL porte sur la définition de la finalité de l'IA à développer. Cette finalité servira de guide pour encadrer et limiter la collecte des données personnelles nécessaires à sa réalisation. La CNIL insiste sur le besoin de transparence et de légitimité de ce processus, en soulignant l'importance d'aligner la finalité sur les missions de l'entreprise ou de l'administration.
La complexité de la définition d'une finalité précise est particulièrement ressentie dans le cas des systèmes d'IA à usage général ou destinés à la recherche scientifique. Dans ces situations, la CNIL recommande d'adopter des bonnes pratiques telles que l'identification des risques potentiels, la spécification des fonctions exclues dès le départ et la clarification des conditions d'utilisation de l'IA (open source, SaaS, API, etc.).
Cette ligne directrice est étroitement liée à celle concernant la minimisation des données à caractère personnel. La collecte doit être limitée au strict nécessaire, conformément à la finalité définie. En outre, la période de conservation des données doit être planifiée à l'avance et justifiée en fonction de la finalité du système d'IA, tout en assurant une information transparente des personnes concernées.
Responsabilité et bases juridiques
Une autre ligne directrice souligne la responsabilité des acteurs impliqués dans le traitement des données pour l'IA. La CNIL fait la distinction entre les responsables de traitement et les sous-traitants. Les premiers sont ceux qui définissent le cadre et les objectifs du traitement des données, tandis que les seconds agissent conformément aux instructions des responsables du traitement.
Le choix de la base juridique du traitement des données est également crucial. Le consentement est souvent privilégié, mais dans le cadre de l'IA, il peut être difficile à obtenir. Dans ce cas, la CNIL recommande de se tourner vers la poursuite d'un intérêt légitime, tout en respectant certaines conditions. Une ligne directrice spécifique sur ce sujet est en cours d'élaboration par la CNIL.
Enfin, une dernière ligne directrice souligne l'importance de réaliser des analyses d'impact avant le développement de systèmes d'IA, notamment pour évaluer les risques potentiels pour la protection des données à caractère personnel. Cette évaluation est particulièrement cruciale pour les systèmes identifiés comme étant à haut risque en vertu de la loi sur l'IA.
En conclusion, les recommandations de la CNIL représentent une avancée significative dans la réglementation de l'IA en France. Elles fournissent un cadre clair et des lignes directrices précieuses pour assurer le développement éthique et responsable des systèmes d'IA, tout en protégeant les données personnelles des individus. Les acteurs du domaine de l'IA, ainsi que les responsables de traitement et les développeurs, doivent intégrer ces recommandations dans leurs pratiques pour construire un avenir numérique plus sûr et plus éthique.